Categories: Sicherheit

Aggressive DDoS-Erpresser von Fancy Bear sind wieder aktiv

Unternehmen erhalten seit dem 12. August im Namen von „Fancy Bear“ Erpresser-Mails. Die Täter fordern mit dem Betreff „DDoS attacks on your network“ 15 Bitcoins, die mit Stand vom 19. August einem Wert von rund 150.000 Euro entsprechen. Beobachtungen des Link11 Security Operations Centers (LSOC) zufolge richten sich die Erpressungen gegen Unternehmen aus verschiedenen Branchen. Betreiber kritischer Infrastrukturen rücken verstärkt ins Rampenlicht. Dies deckt sich mit der Einschätzung des Weltwirtschaftsforums (WEF), das in seinem Global Risk Report 2020, Cyberangriffe auf Betreiber von kritischen Infrastrukturen als weltweites Top-5-Risiko bewertet und „neue Normalität“ bezeichnet.

Die DDoS-Erpresser, die sich als „Fancy Bear“ ausgeben, übten schon im Oktober 2019 mit DDoS-Attacken Druck auf Unternehmen aus, um an Bitcoins zu gelangen. Die dem LSOC vorliegenden Erpresserschreiben vom Herbst des vergangenen Jahres und von der aktuellen Welle sind im Text weitgehend identisch. Die Bitcoin-Adressen unterscheiden sich, so dass die Angreifer prüfen können, wer gezahlt hat. Die attackierten Unternehmen haben aktuell sieben vorher vier Tage Zeit, um die Bitcoins zu überweisen.

Die Erpresser kündigen Warn-Attacken an, um die Ernsthaftigkeit ihrer Forderungen zu unterstreichen, und führen diese auch aus. Die Attacken zeichnen sich durch sehr hohe Bandbreiten und eine langanhaltende, große Intensivität aus. Laut Aussage der Angreifer sollen diese aber nur einen Vorgeschmack liefern. Im Falle, dass den Lösegeldforderungen nicht nachgekommen wird, drohen sie mit Angriffen von über 2.000 Gbps.

Angriffe, die das LSOC für KRITIS-Betreiber erfolgreich abgewehrt hat, erreichten mehrere hundert Gbps und erstreckten sich über mehrere Stunden hinweg. Die Attacken basierten auf UPD Floods, TCP Floods und SYN Floods. Zur Steigerung der Angriffsvolumen setzten die Täter auf die Reflection-Amplification-Vektoren DNS, Apple Remote Control und WS-Discovery.

Angesichts des sehr aggressiven Verhaltens der Täter empfiehlt das LSOC, die Erpressungen unbedingt ernst zu nehmen. Sobald sie eine Erpresser-Mail erhalten, sollten die Unternehmen proaktiv ihre DDoS-Schutzsysteme aktivieren. Wenn die Schutzlösung nicht auf Volumen-Attacken von mehreren hundert Gbps und darüber hinaus skalierbar ausgelegt ist, gilt es sich zu informieren, wie die unternehmensspezifische Schutzbandbreite kurzfristig erhöht und mittels SLA manifestiert werden kann.

Außerdem rät das LSOC den attackierten Unternehmen, nicht auf die Erpressungen einzugehen und stattdessen Anzeige bei den Strafverfolgungsbehörden zu erstatten. Die Allianz für Cybersicherheit bietet eine Übersicht über die jeweiligen Ansprechpartner für Cybercrime in den einzelnen Bundesländern.

ZDNet.de Redaktion

Recent Posts

Intel meldet Umsatzrückgang und Nettoverlust im vierten Quartal

Die Einnahmen brechen um mehr als 30 Prozent ein. Betroffen sind vor allem die Sparten…

5 Stunden ago

Ransomware-Gruppe Hive zerschlagen

An der Beschlagnahmung von Servern sind auch das BKA und die Polizei in Reutlingen beteiligt.…

7 Stunden ago

Google schließt schwerwiegende Lücken in Chrome 109

Zwei Anfälligkeiten sind mit einem hohen Risiko behaftet. Angreifer können unter Umständen Schadcode einschleusen und…

24 Stunden ago

Beispielcode für kritische Spoofing-Lücke in der Windows CryptoAPI veröffentlicht

Patches liegen bereits seit August 2022 vor. Forscher von Akamai finden immer noch zahlreiche angreifbare…

1 Tag ago

IBM steigert Gewinn um 16 Prozent im vierten Quartal

Der Umsatz verharrt auf Vorjahresniveau. Das Fiskaljahr schließt IBM mit einem Überschuss von 1,8 Milliarden…

1 Tag ago

Dockingstation mit 12 Anschlüssen

Notebooks und Tablets haben meist zu wenig Anschlüsse. Eine Anschlussstation hilft gegen die lästige Knappheit.

1 Tag ago